除了sql注入还有哪些常见的网络攻击?

最新推荐文章于 2024-05-25 10:30:00 发布
最新推荐文章于 2024-05-25 10:30:00 发布
阅读量938 收藏 2
点赞数 1
文章标签: 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mmxgl/article/details/116101032
版权

引入主题
上一次面试一家公司的安全部门,基础问完之后问到了你了解过哪些网络安全攻击?

作为一个大三的学生,也就是在开发的时候听人说到过sql注入,也简单了解了一下,至于xss更是只知其名,平时忽略了网络安全方面的了解。总结一下比较常见的三种网络攻击方式。

SQL注入

将SQL语句插入到web表单中或URL中,来让服务器执行恶意SQL语句。

解决方法是,使用参数化的SQL,不要使用拼装SQL;可以通过正则表达式对用户的输入进行校验;可以将单引号和双横杠(注释符)进行转换。建议使用#{},而不是${}。

#{}和${}的区别?

#{}是预编译处理,$ {}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理 $ { } 时,就是把 ${ } 替换成变量的值。使用 #{} 可以有效的防止SQL注入,提高系统安全性。

#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,避免被当成sql一部分,被sql注入。

${param}传递的参数会被当成sql语句中的一部分

XSS(跨站脚本攻击)

client那边输入了一些奇怪的js代码,被注入到html里面,产生例如盗取用户cookie信息的效果。

解决方法是,将用户提交的<和>转义成&lt,&gt。开启cookie的HttpOnly属性。

CSRF(跨站请求伪造)

盗用合法的用户名义来完成操作,让服务器无法辨别。

例如我登录了一个金融网站,进行一笔支付,服务器验证Cookie,这个操作是合法的。但是黑客通过广告引诱等形式引导我进去某个网站,加载这个网站的时候就会产生一个向黑客支付的请求,因为此时还带着自己的cookie,服务器辨别不出。这样,攻击者就通过我的身份来执行转账操作。

解决方法是,提交请求时携带Token,每次都是一个合法的随机数,并保证它的私密性;判断HTTP头的Referer字段,来确定这个请求是不是对应网页发出的。

mmxgl
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【怎么预防sql注入,以及还有预防其他的什么网络攻击
学无止境
02-24 362
【怎么预防sql注入,以及还有预防其他的什么网络攻击
几种常见Web安全攻击方式 CSRF 、XSS 、SQL注入
Jackie Huang
02-21 934
ps: 如果有任何问题可以评论留言,我看到后会及时解答,评论或关注,您的鼓励是我分享的最大动力       转载请注明出处:https://blog.csdn.net/qq_40938301/article/details/87868755 CSRF攻击 概念: CSRF(Cross Site Request Forgery),跨站请求伪造。 CSRF攻击者在用户已经登录目标网站之后,诱...
网络安全常见攻击方式(SQL注入、XSS攻击、CSRF攻击、网页木马、文件包含漏洞攻击、目录遍历攻击、CC攻击、DOS攻击)
mogexiuluo的博客
02-21 3031
文章目录 SQL注入 XSS攻击 CSRF攻击 网页木马 文件包含漏洞攻击 目录遍历攻击 CC攻击 DOS攻击 DOS攻击和CC攻击的区别 SQL注入 SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 个人理解:用户通过浏览器访问网站,基本上很多的网站的数据都是保留在数据库中的,客户通过输入特定的数据特征利用网站开发者设计好的SQL查询语句进行对数据库中的数据进行查询,从而返回用.
关于6种Web安全常见的攻防姿势
最新发布
ZL_1618的博客
05-25 674
XSS攻击的本质就是,利用一切手段在目标用户的浏览器中执行攻击脚本。
DDOS和sql注入网络攻防实验
weixin_34221332的博客
11-15 1747
模拟网络攻防实验 好久没研究渗透攻击了,巩固一下 sql注入攻击 概述 通过对SQL注入的演示,让大家了解SQL注入漏洞的方式,并学习应对此种漏洞的防御方法。 环境拓扑图 Ip地址 操作机IP地址:172.16.11.2 整体说明 1、第一步,判断注入点字符还是数字 字符型 ' and 'a'=a' ' and 'a'='b 数字型 and 1=1 a...
SQL注入的几种实用办法
大事龙
12-29 2640
一、查询表中包含有多少列:这里以DISCUZ举例说明,如下select * FROM pre_forum_thread ORDER BY 80返回,Unknown column '80' in 'order clause',这样可以判定一定小于80列,下面再试用 39select
Web网站常见攻击XSS、DDOS、CSRF、SQL注入
kjprime的博客
03-03 4005
这里写目录标题XSS概叙解决办法DDOS概叙解决办法CSRF概叙解决办法SQL注入概叙解决办法参考资料 XSS 概叙 XSS(Cross Site Scripting)中文意思就是跨站脚本攻击。 一般网页都会有评论功能或留言功能,或类似可以让用户写东西的地方,然后写的东西直接存入数据库。然后下次把数据库中的评论或者写的东西渲染到前端页面,网页解析器会把用户的信息也当成html代码给解析了,这就出问题了。你想啊,既然当成html代码给解析,那么如果写的是一些代码,那么就可以为所欲为了了。 解决办法 知
Web十大安全隐患之SQL注入
weixin_33882452的博客
07-03 350
 注入往往是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见注入包括SQL注入,OS Shell,LDAP,Xpath,Hibernate等等,而其中SQL注入尤为常见。这种攻击所造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入,攻击者甚至能够获得更多的包...
防止SQL注入,我们需要注意以下几个要点:
qq_35808818的博客
05-23 546
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;
总结入侵网站的手法
blackbean的专栏
03-08 718
知道黑客有哪些网站的入侵技术   sql注入漏洞的入侵   这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
黑客常用入侵方式(12种)
2401_84466225的博客
04-29 1804
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接。客常用的开发软件都在这里了,给大家节省了很多时间。如果你对网络安全入门感兴趣,那么你需要的话可以。👉网安(黑客)全套学习视频👈。
web服务器攻击的八种方式
2301_76161259的博客
03-29 3131
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
转:PHP中防止SQL注入的方法
weixin_34258838的博客
10-08 769
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
Web攻防之XSS,CSRF,SQL注入
weixin_30536513的博客
03-11 400
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入,XSS,CSRF 1.SQL注入   所谓SQL注入式攻击,就是攻击者把SQL命令插入到W...
2分钟入侵网站全程实录
Deligent的专栏
02-16 4054
作者:Firefox    文章来源:火狐技术联盟说起流光、溯雪、乱刀,可以说是大名鼎鼎无人不知无人不晓,这些都是小榕哥的作品。每次一提起小榕哥来,我的崇拜景仰就如滔滔江水,连绵不绝~~~~(又来了!) 让我们崇拜的小榕哥最新又发布了SQL注入工具,这回喜欢利用SQL注入入侵网站的黑友们有福了。小榕哥的工具就是强!偶用它来搞定我们本地的信息港,从寻找注入漏洞到注入攻击成功,通过准确计时,总共只用了
网络安全--入侵攻击类型
weixin_43774199的博客
09-13 4279
课程目标:这节课我们来介绍入侵攻击中的类型,了解入侵攻击中一般存在的入侵攻击类型。 任务目标:通过对这节的学习,能够了解熟悉入侵攻击类型中的常见类型,常见类型中的入侵技术。 1.入侵攻击类型介绍 随着计算机网络的飞速发展,网络信息的安全问题也日渐突出,它已经成为了计算机领域的一个重大课题。现阶段,网络攻击的手段花样不断更新,层出不穷,大致来说,可以分为如下六类:信息收集型攻击、访问类攻击、Web攻击、拒绝服务类攻击、病毒类攻击、溢出类攻击。 2.侦察/信息收集型 侦察是未授权的发现和扫描系统、服务
SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:可以看到除了账号密码之外
热门推荐
qq_24884955的博客
04-13 1万+
SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:
什么是 SQL 注入攻击?如何预防?
05-26
SQL注入攻击是一种常见网络攻击方式,它利用Web应用程序对用户输入数据的处理不当,通过注入恶意的SQL语句来实现对数据库的非法操作。攻击者可以通过SQL注入攻击实现窃取、篡改、删除、添加等操作,危害严重。 预防SQL注入攻击的方法主要有以下几种: 1. 使用预编译的SQL语句或存储过程。这种方式能够有效地防止SQL注入攻击,因为预编译的SQL语句或存储过程已经在编译期确定了参数类型和长度,攻击者无法通过注入SQL语句来改变参数类型和长度。 2. 对用户输入数据进行严格的过滤和验证。在Web应用程序中,对于用户输入的数据,应该进行合法性验证和过滤,例如检查输入数据的类型、长度、格式等,避免恶意输入。 3. 不要使用动态生成SQL语句。动态生成SQL语句容易受到SQL注入攻击,因此应该尽量避免使用动态生成SQL语句。 4. 限制数据库用户权限。为了减轻SQL注入攻击的影响,应该限制数据库用户的权限,仅赋予其必要的权限。 5. 定期更新和维护Web应用程序和数据库系统,及时修复安全漏洞。攻击者通常会利用Web应用程序和数据库系统的安全漏洞来进行SQL注入攻击,因此应该定期更新和维护Web应用程序和数据库系统,及时修复安全漏洞。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值